Érvények
A jelszavak állnak a legközelebb a jelszavak valódi utódjához. Megosztott titok helyett kriptográfiával hitelesítik Önt, az operációs rendszer kulcstartóján keresztül szinkronizálva vannak az eszközök között, és tervezésüknél fogva adathalászat-biztosak. Mostantól minden nagyobb operációs rendszer, böngésző és identitásszolgáltató szállít jelszótámogatást.
A cikk teljes szövege alább olvasható angol nyelven.
A Az passkey egy FIDO2 hitelesítő adat – az eszköz operációs rendszere által létrehozott és tárolt kriptográfiai kulcspár, amellyel jelszó beírása nélkül hitelesítheti Önt egy webhelyen vagy alkalmazásban. A böngésző igazolja a privát kulcs birtoklását az oldal kihívásának aláírásával; a webhely a regisztrált nyilvános kulccsal ellenőrzi. Nincsenek jelszavak, nincsenek kódok, nincs súrlódás az ujjlenyomaton vagy az arcazonosítón kívül.
Mit helyettesítenek a jelszavak
A hagyományos bejelentkezési folyamatnak három rétegbeli problémája van:
- A jelszavak kitalálhatók. A leggyakoribb szótári szavak és az egyszerű minták. A hitelesítő adatok kitöltésére irányuló támadások minden webhelyen újrahasznosítják a kiszivárgott jelszóadatbázisokat.
- A jelszavak újrafelhasználhatók. A felhasználók szolgáltatáson keresztül újra felhasználják őket, így egy incidens sok fiókot veszélyeztet. valós időben adathalászható, csak a hardverkulcsok valóban adathalászat-biztosak – a hardverkulcsok pedig túlságosan súrlódást okoznak az alkalmi felhasználók számára.
Passkeys összecsukják a jelszót + a 2FA-élményt egyetlen biometrikus vagy PIN-ellenőrzésbe a már valóban hitelesített eszközön.XPLZ24HXXowPL24X works
Az alapul szolgáló protokoll az WebAuthn (W3C szabvány) a böngésző oldalon és az CTAP2 (Client to Authenticator Protocol), ha egy külön eszköz, például hardverkulcs is érintett. Együtt valósítják meg a FIDO2 keretrendszert.
Amikor regisztrál egy jelszót az example.com:
- A webhely hitelesítő adat létrehozására kéri a böngészőt.
- Az operációs rendszer egy ECC kulcspárt hoz létre (általában a Secure TPM /Secure Encla TitanM2).
- Az operációs rendszer a nyilvános kulcsot az example.com-hoz és egy hitelesítési adatazonosítóhoz társítja.
- A böngésző elküldi a nyilvános kulcsot a webhelynek, amely eltárolja azt a fiókrekordban.
- A privát kulcs soha nem hagyja el az eszköz biztonságos tárhelyét.A következőn bejelentkezik6PLZ5544XX time:
- A webhely véletlenszerű kihívást küld.
- A böngésző arra kéri az operációs rendszert, hogy írja alá a kihívást az example.com privát kulccsal.
- Az operációs rendszer felkéri Önt, hogy engedélyezze – Touch ID, Face ID, Windows Hello vagy egy PIN kód, amely az aláírt PIN-kód ellen megy vissza.XPLZ54 az általa tárolt nyilvános kulcs.
- Be van jelentkezve.
Miért adathalászat-biztosak a jelszavak?
A böngésző a felhasználó által felkeresett tényleges tartományhoz (eredethez) köti az aláírást. Ha az igazi example.com webhelyen tartózkodik, akkor az aláírás a example.com. Ha becsapják az evil-example.com webhelyre, a böngésző aláírást készít az evil-example.com webhelyhez, amelyet az igazi example.com nem fogad el. A támadó nem tudja elfogni és lejátszani a hitelesítő adatokat – nincs olyan újrajátszható titok, mint a jelszó vagy a TOTP-kód, amelyet rögzíteni kell.
Ez ugyanaz a tulajdonság, amely a hardveres FIDO2-kulcsokat adathalászat-biztossá tette, és mostantól az operációs rendszer által kezelt hitelesítő adatokra is kiterjesztve, amelyekhez nincs szükség külön vngle-re.XPLZPLZ65XX eszközhöz kötött
A jelszónak két változata van:
- Szinkronizált jelszó. Az operációs rendszer kulcstartójában tárolva (iCloud Keychain, Google Password Manager, 1Password, Bitwarden) és szinkronizálva az eszközökön. Laptopjáról bejelentkezhet a telefonon létrehozott jelszó segítségével. A leginkább fogyasztóbarát.
- Eszközhöz kötött jelszavak. Maradjon egy eszközön, jellemzően egy hardverkulcson. Magasabb biztonsági garanciák (még akkor sem lehet kiszűrni, ha iCloud-fiókját feltörték) azon az áron, hogy minden alkalommal szükség van a fizikai eszközre. A vállalati és a fokozott biztonságú felhasználási esetek ezeket részesítik előnyben.
Eszközök közötti bejelentkezés
A jelszóval nem rendelkező eszközön egy közeli eszközön lévő jelszó használatával jelentkezhet be. A standard menet: a laptop QR-kódot mutat, te beolvasod a telefonoddal, a telefonod hitelesít a jelszóval, és Bluetooth-proximity check-en keresztül elküldi az állítást a laptopnak. Gyors, nem szükséges, hogy a telefon ugyanazon a Wi-Fi-n legyen, megakadályozza a távolsági támadásokat, mert a Bluetooth bizonyítja a fizikai közelséget.
Elfogadás 2026-ban
A jelszó kiterjesztés gyorsabban haladt, mint a szokásos biztonsági szabványok:
- Apple, Google, Microsoft 2022–2023
- 1Password óta szállít jelszótámogatást az operációs rendszer kulcstartóihoz, a Bitwarden, a Dashlane hozzáadta az operációs rendszer közötti jelszószinkronizálást a 2023
- Főbb webhelyeken, amelyek kulcstámogatással rendelkeznek: Me Google, Amazone, Giub, többek között Me Google, Amazone, Baj PayPal, Best Buy, Robinhood, még több száz
- Sok webhely továbbra is alapértelmezés szerint a jelszó+2FA-t használja, de lehetőségként jelszót kínálnak
A súrlódások most leginkább a webhelyek elfogadásában és a felhasználók megismerésében rejlenek. A technológia megoldott.
Ahol hiányoznak a jelszavak
Néhány őszinte korlátozás:
- A fiók-helyreállítás nehezebb. Ha elveszíti az összes eszközét és hozzáférését a szinkronizálási szolgáltatóhoz, akkor elveszítheti a jelszókulcsokat. A jelszavakat támogató webhelyeknek továbbra is szükségük van fiók-helyreállítási folyamatra, gyakran e-mailre vagy SMS-re – ami azt jelenti, hogy a biztonsági szintet továbbra is az e-mail- vagy telefonszolgáltató jelenti.
- Az ökoszisztéma általi zárolás. Az Apple iCloud kulcstartója jól szinkronizálja a jelszót az Apple-eszközök között; A szállítók közötti szinkronizáláshoz harmadik féltől származó jelszókezelőre van szükség.
- Az adathalászat elleni védelem nem a fiókátvétel elleni védelem. A jelszót nem lehet adathalászni, de a bejelentkezés utáni munkamenet-cookie-kat a rosszindulatú programok továbbra is ellophatják.
Gyakran ismételt kérdések
- Mi történik, ha elveszítem a telefonom egy jelszóval?
- Ha a jelszót szinkronizálták az iCloud-/Google-fiókjával, akkor visszaállíthatja, ha bejelentkezik abba a fiókba egy új eszközön. Ha eszközhöz kötött (hardverkulcs), akkor általában egy biztonsági mentési eszközt is regisztrált – minden jelszót támogató webhely legalább kettő regisztrálását javasolja. Ha mindkettő sikertelen, a helyreállítási folyamat visszamegy e-mailre/SMS-re.
- A jelszó ugyanaz, mint a biometrikus bejelentkezés?
- Nem pontosan. A biometrikus adat (Touch ID, Face ID) oldja fel a jelszót az eszközön. Maga a jelszó egy kriptográfiai kulcs. Az ujjlenyomat soha nem hagyja el az eszközt – a webhely csak egy aláírást lát a biztonságos enklávéban lévő kulcsból. A biometrikus adat engedélyezi a titkosítást; nem kerül átvitelre.
- El lehet lopni egy jelszót?
- A privát kulcs biztonságos hardverben (Secure Enclave, TPM, TitanM2) él, és úgy van kialakítva, hogy ne legyen kibontható. A felhőben szinkronizált jelszavak megjelenhetnek, ha az Ön iCloud- vagy Google-fiókját feltörik – ezért ezeknek a fiókoknak saját erős védelemre van szükségük (ideális esetben hardverkulcsos 2FA-val).
- Minden webhely működik jelszóval?
- Csak azok a webhelyek, amelyek implementálták a WebAuthnt. Az elfogadás széleskörű, de egyenetlen – a nagy technológiai és pénzügyi oldalak általában támogatják, a kisebbek gyakran nem. Ha egy webhely nem támogatja a jelszót, akkor visszatér a jelszó + 2FA-hoz, ami rendben van.
- Biztonságosabbak a jelszavak, mint a hardverkulcsok?
- Nagyjából megegyezik az adathalászat-ellenálló tulajdonsággal. A hardverkulcsoknak van egy előnye: a hitelesítő adatokat soha nem lehet kiszűrni, még akkor sem, ha számítógépét vagy felhőfiókját feltörték. A szinkronizált jelszavak kényelmesebbek és egyformán adathalászat-biztosak, de kevésbé ellenállóak egy teljesen feltört felhőfiókkal szemben. Nagy téttel rendelkező fiókok esetén használjon hardverkulcsot. A mindennapi használathoz a szinkronizált jelszavak jelentik a megfelelő egyensúlyt.